我在SONICWALL防火牆設定 MAC綁IP 因為我要讓某些IP的電腦 上班時候無法上網開網頁及使用P2P軟體等 其他功能都是可以的
可是員工會自己更改網卡卡號 改成可以上網電腦的網卡卡號 自然IP也改了 利用上班時間上網摸魚 唉 我知道哪幾台改了 但是沒有證據
我們公司只有一台SONICWALL防火牆 沒有SERVER 當初也是要防止員工上網才買的防火牆 經員工這樣一改網卡卡號 反而起不了作用
請問有什麼方法或是軟體可以知道這些電腦網卡卡號被更改 及該如何預防
另外區域網路如果2個台電腦網卡卡號相同 不會有問題嗎?? 請各位大大指點迷津 謝謝
已邀請的邦友 {{ invite_list.length }}/5
建議有以下做法:
1.將USER的電腦權限改成只有使用者權限,將管理者權限拿掉,他就沒法改了.
2.或是架設Proxy綁定MAC+IP+帳號+密碼
公司目前沒有SERVER 所以USER都有管理者權限 以現階段有的資源來講 把管理者權限拿掉是個很好的方法 謝謝
拿掉使用者權限比較快, 但是user會有很多事情會來找你.
安裝軟硬體都會因為權限不足而無法使用.
磁碟機的檔案權限也必須更改.
系統日誌裡的安全性日誌, 將檔案加大或減少重複紀錄日期, 以免無法登入.
後面兩個是去年公司開始使用XP系統碰到的問題.
謝謝提醒我 有這些後遺症 不能上網且需要控管的USER不多 安裝硬體機會比較少
基本上電腦只有做報表 收發EMAIL 上SKYPE 拿掉管理者權限應該影響不會那麼大
因為我不是資訊科班出生的 有些問題還是一知半解
所以想請問一下 是不是我在有管理權限的帳號安裝軟體後
在只有使用者權限的帳號登入時 那些安裝過的軟體是否一樣可以使用??
您用的這個方法, 10 年前或許有效, 但近幾年的網卡都可以自由指定 MAC 了, 所以自然就破功.
現在您應該要改用: 可以在每個 Port 綁定 MAC 的網管 Switch, 把每個 Port 都綁死一個 MAC, 這樣如果 User 自己隨便改 MAC, 根本就無法通過 Switch 取得任何 IP. 然後再搭配您目前防火牆上面的 MAC 綁 IP, 就可以達到您想要的控管.
但這樣會有個缺點, 就是您必須自己維護這一大張 MAC-to-Port 的對應表, 且 NB 電腦不能隨便換位置(Port), 否則會很難查問題. 而且萬一公司裡面有公用的 Port, 是給不特定訪客使用的話, 就不能這樣鎖, 所以可能會留下一些漏洞控管不到.
以管理來說, 控管功能最齊全的, 是導入 802.1X 認證機制, 利用 User 登入的 ID/Password 或是數位憑證, 來決定他可以套用的安全策略, 這樣就不用被 MAC 或 IP 給綁死. 但這樣的投資會非常大, 全公司的 Switch/Firewall 都要換成 802.1X 相容的規格, 且要建立一台 802.1X 的認證伺服器, 不過以後管理起來就很方便, User 也可以隨便遊走, 仍然可以完整控管其上網行為.
能否用實體隔離的方式,把能上網的獨立一個網域,不能正常上網的獨立一個網
這方法我有想過 讓他們不能上的人只可以使用區域網路 但有些不讓他上網的USER 又必須要能讓她使用SKYPE及收發EMAIL才能工作 所以我也很苦惱...
就針對不能正常上網的區段把skype與mail的port打開呀,其他的關閉呀
其實我自己本身也有問題 不是電腦資訊專科出生的 只是稍微懂一點電腦 兼任幫公司處理一些電腦小事情 很多聽起來很簡單的方法 因為不懂 所以很難操作 唉
小公司沒有MIS...
我也知道把port封起來 公司沒SERVER控管 也不知如何設定 如果知道的話 也不會被員工這樣搞小動作
還是謝謝大大回應 不過搞的這麼複雜 基本還是員工如果能自覺就好了
公司規模不大,無法投資太多金錢在硬體及IT人力做管控,只能透過管理制度來補足,若連管理制度的獎懲辦法都做不到或無法落實,那就等系統出狀況由老闆來決定該如何做,如果不想換跑道的話。
tamp0001提到:
公司規模不大,無法投資太多金錢在硬體及IT人力做管控,只能透過管理制度來補足,若連管理制度的獎懲辦法都做不到或無法落實,那就等系統出狀況由老闆來決定該如何做,如果不想換跑道的話。
另一種方法: 把每個人的工作量增加20%, 取消加班費, 這樣子還能摸魚的話, 也就認了..... 
iThome鐵人賽
看影片追技術